木马后门与密码破解

简介:

第3章-木马后门与密码破解

一、木马后门介绍

(1)、常见的木马种类

1、远程控制木马

Ø远程控制木马是数量多、危害最大、知名度最高的一种木马,它可以得到被感染计算机的私密信息,访问任意文件

Ø它属于‘三代木马’,比如"冰河木马"

2、键盘屏幕记录木马

Ø就是记录用户的各种键盘操作,或者对用户屏幕进行截屏,然后将记录下来的内容通过邮件等方式传送给黑客

Ø这种木着系统的启动而启动,在后台运行,不易被用户发现

3、反弹端口型木马

Ø反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口

Ø它会实时监测‘控制端’的存在,一旦发现‘控制端’上线,立即弹出端口主动连接控制端

Ø它属于‘四代木马’,如“广外女生、网络神偷、上新”等

4、DDos攻击木马

ØDDos就是分布式拒绝服务,最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令

Ø很多Dos攻击源一起攻击某台服务器就组成了DDos攻击

(2)、后门程序

1、后门程序介绍

Ø后门程序也属于木马的一种,又称为特洛伊木马,其用途在于潜伏在计算机中,从事收集信息便于黑客进入的动作

Ø后门是一种登录系统的方法,它不仅可以绕过系统已有的安全设置,还能挫败系统上各种增强的安全设置

【后门、木马、远程控制软件的区别】

后门:是程序开发者为了完善自己设计的程序,而开设的特殊接口(通道),便

于自己对程序进行修改时,一般拥有最高权限

木马:是利用后门或发现的漏洞非法入侵用户计算机

远程控制:则是更广泛的概念,它是一种技术,包括使用木马或者别的手段,包

括正当用途的远程管理和维护,如Windows的远程桌面连接,赛门铁克

的PCAnywhere等

《注意》

一般在命名的时候,后门程序经常带有backdoor字样,而木马带有Trojan字样

2、后门程序分类

a、网页后门

   #网页后门其实就是一段网页代码,主要以ASP和PHP代码 主

   #攻击者通过精心设计的代码,让这些代码都运行在服务器端

b、线程插入后门

   #攻击者利用系统自身的某个服务或线程,将后门程序插入其中

   #这种后门程序在运行的时候并没有自己的独立进程,所以具有很强的隐蔽性,非常难以查杀

c、扩展后门

   #这类后门就是将非常多的功能集成到了后门里,让后门本身就可以实现很

多功能

   #如文件上传/下载、服务启动、端口开放等

d、C/S后门

   #类似于传统的木马程序,采用‘客户端/服务端’的控制方式

(3)、木马的特点

1、自启动功能

1)在Windows的“启动”文件夹中自动加载

   2)在Windows系统的注册表中进行配置实现自启动。

   3)通过本地组策略中的启动/关机、登录/注销脚本进行加载。

   4)将程序注册为系统服务。

   5)将程序捆绑到正常程序中,如QQ、IE、记事本等,随着正常程序的启动而自动运行。

2、隐蔽性

   1)木马本身的隐蔽性、迷惑性

   2)木马运行时的隐蔽性

   3)木马在通信时的隐蔽性

(4)、木马举例

制作木马程序 条件如下

a、创建一个具有管理员权限的用户hacker,密码为 benet

b、还要打开远程桌面

c、使用记事本创建,并保存格式为.vbs的格式

d、保存名字为config.vbs


1、开机木马自启动

第一步:

将编写好的木马文件config.vbs保存到C:\Windwos\System32目录下,不易被发现

第二步:

打开注册表,导般到“HKEY_LOCAL_MATHINE\SOFTWARE\Windows\currentVersion\Run项”,右击    RUN--新建--字符串值

第三步:

字符串取名为config,输入数值数据“C:\Windows\System32\config.vbs”




第四步:

重启生效

2、脚本捆绑木马

第一步:

修改config.vbs脚本,插入两行命令,并另存名为qq.vbs

   wshell.yun"cmd /c rename c:\Progra~l\Tencent\QQ\Bin\QQ.exeQQ2.exe" vbhide

   wshell.yunchr(34)&"c:\ProgramFiles\Tencent\QQ\Bin\QQ2.exe"&chr (34)


如下图所示:



第二步:

安装VBScript编辑器,将QQ.vbs脚本粘贴到VBScript编辑器中,另存为QQ.exe


第三步:将QQ.exe用木马程序替换为和原程序相同的图标

3、WinRAR木马捆绑

第一步:

将“clock.exe”和“Config.vbs”两个文件进行捆绑

注意(Clock.exe为第三方的闹钟软件 

第二步:

输入压缩文件名“colck2.0.exe”

如下图所示





第三步:在“高级”选项卡中打开“自解压缩”选项



第四步:设置高级解压参数




第五步:窗口弹出设置


二、密码确解的方式

v暴力破解与字典攻击

§密码穷举

§字典攻击

v键盘屏幕记录

v网络钓鱼

§伪造站点诱骗用户登陆,获取账号与密码

vSniffer(嗅探器)

§直接抓取网络包,获取未加密信息

v密码心理学

§通过个人习惯猜测密码组成



本文转自甘兵 51CTO博客,原文链接:http://blog.51cto.com/ganbing/1259269,如需转载请自行联系原作者

相关文章
|
6月前
|
安全 数据安全/隐私保护
webshell后门分析
webshell后门分析
97 3
|
安全 Linux PHP
浅谈木马
浅谈木马远控 在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。
|
安全 JavaScript 前端开发
木马生成
木马生成
|
开发框架 安全 Java
网站后门木马查杀该怎么删除
收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况,一脸懵逼,无奈询问度娘吧,百度搜索了什么是webshell,为了解决这个问题,我可是下了很大的功夫,终于了解清楚并解决了阿里云提示网站后门的这个问题,记录一下我解决问题的过程。
371 0
网站后门木马查杀该怎么删除
|
监控 安全 程序员
服务器里如何查杀网站后门文件
收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况,一脸懵逼,无奈询问度娘吧,百度搜索了什么是webshell,为了解决这个问题,我可是下了很大的功夫,终于了解清楚并解决了阿里云提示网站后门的这个问题,记录一下我解决问题的过程。
3875 0
|
安全 Linux Shell
linux系统 网站木马后门Webshell查杀工具源码
后门这东西好让人头疼,第一文件太多了,不容易找,第二,难找,需要特征匹配啊。搞了一个python版查杀php webshell后门工具,大家可以增加后门的特征码,然后甩到后台给他查杀就可以了。
3534 0